Mientras probaba un servidor, descubrí una botnet. Tengo el ejecutable descargado en el servidor y descompilado el archivo para obtener las cadenas de él.
Mi pregunta es ¿cuál sería el siguiente paso lógico y cómo descompilar mejor el archivo httpd malvado? Además, ¿qué sería lo correcto (por ejemplo, tomar el control de la botnet y apagarlo o informar a alguien?)
Cuando intentas tomar el control de una botnet, estás cometiendo un acto tan criminal como lo que estaba haciendo el propietario original de la botnet. No importa qué tan buenas sean sus intenciones, usted está tomando el control de los sistemas de TI de otras personas, lo cual es ilegal en la mayor parte del mundo.
Reportar la botnet a las autoridades. Cuando no crea que tienen el conocimiento necesario para lidiar con él adecuadamente, podría ofrecer sus servicios como especialista en seguridad de TI para ayudarlos, pero no intente hacer nada que no esté coordinado con las autoridades. Como profesional de TI, es probable que no esté familiarizado con el procedimiento policial adecuado. Cuando se vuelva loco, es probable que destruya o invalide las pruebas que son necesarias para encontrar y procesar a las personas detrás de la red de bots. Eso no solo evitará que reciban su castigo legal, sino que también podría ocasionarle problemas legales por ayudarlos a escapar de la condena sin darse cuenta.
Si se reemplazó el archivo httpd, ¿qué se reemplazó ELSE? Esto se ve como un escenario 'nuclear desde la órbita'.
En cuanto a tomar el control de una botnet, no es una buena idea. Cualquier cosa que haga la botnet puede atribuirse a usted porque se convirtió en uno de los controladores en su red. Informe a las autoridades en su área.
Lea otras preguntas en las etiquetas malware reverse-engineering botnet